Instalar certificado SSL y configurar WordPress para que funcione correctamente

¿Qué es un certificado SSL y cómo funciona?

Cuando accedemos a una web se establece una conexión entre el servidor donde está alojada y nuestro navegador. Al margen de las medidas de seguridad que tengas tú en tu máquina y las que tenga implementadas el servidor donde se aloja la web, ese proceso de conexión está desprotegido. Eso quiere decir que alguien puede intervenir esa comunicación y hacerse con los datos que se envían y reciben mientras interactuamos.

Básicamente un certificado SSL es una medida de seguridad que protege esa conexión encriptando la información y garantiza esa confidencialidad necesaria en la conexión entre el usuario y el servidor. Esto es particularmente necesario en tiendas online o webs con intercambio de datos sensibles como por ejemplo datos personales, tarjetas de crédito o datos sensibles.

Es un proceso que hacemos constantemente y del que ya no nos damos ni cuenta porque estamos acostumbrados. Por ejemplo, cuando creamos una cuenta en una plataforma tipo Facebook, twitter, etc, o nos suscribimos a un newsletter o hacemos una compra online. Fíjate que en todos estos procesos, el certificado SSL está presente y lo identificas en la barra de tu navegador porque lo que aparece como http:dominio.com pasa a ser https://dominio.com.

Instalar certificado SSL para WordPress desde Plesk

¿Necesito instalar un certificado SSL en mi web o blog?

Bueno, esta es una pregunta con miga. Fíjate en la inmensa mayoría de las webs o blogs que no tienen comercio electrónico pero que si permiten crear una cuenta donde tan solo se solicita un nombre de usuario y un correo electrónico. Encontrarás muy pocas….porque no es obligatorio tenerlo. La LOPD tampoco obliga a ello porque no se consideran datos sensibles.

Ahora fíjate en cualquier tienda online. En algunas está presente en toda la tienda, pero en la mayoría el certificado SSL aparece justo cuando te registras o te metes de lleno en el proceso de compra, pero no está presente mientras revisas otra información, como por ejemplo los productos.

Fíjate también en las redes sociales donde se solicita todo tipo de información, por ejemplo Facebook. Verás que el certificado SSL está presente en todo momento.

Hay que diferenciar entre necesidad y obligatoriedad.

Si tienes una tienda online estás obligado a tenerlo. Si se trata de una web tipo red social donde se crean perfiles con amplia información de los usuarios tienes necesidad de proteger a tus usuarios (además de muchas otras cosas) pero no estás obligado. Si tienes un blog no estás obligado pero es una muy buena idea.

Ventajas e inconvenientes de instalar un Certificado SSL

Hoy por hoy muchas ventajas y muy pocos inconvenientes.

Ventajas

Menos costes: Antes, para tener un certificado SSL era necesario tener una IP fija y exclusiva para esa web. Ahora esto ya se ha solucionado y se pueden compartir diferentes certificados sobre la misma IP, lo cual implica un coste menos.

Precios: Han bajado considerablemente y existen multitud de certificados SSL que se adaptan a las necesidades reales de cada uno. No es el mismo certificado SSL que se instala en un blog que el que hay que instalar en una gran plataforma con miles de usuarios donde se piden todo tipo de datos.

Seguridad y confianza: Aunque no sea tu obligación, tal y como está internet, ofrecer a tus visitantes una capa adicional de seguridad a través del SSL es algo que muchos valorarán de manera positiva.

Tranquilidad: No existe la seguridad 100%, ni en internet ni en nada, pero teniendo en cuenta que la LOPD nos hace responsables de los datos que manejamos sobre nuestros clientes y las sanciones pueden ser de aupa, probablemente puedas estar un poco más tranquilo/a con tu web/blog en ese sentido.

Factor de posicionamiento: Los buscadores han empezado a tomar conciencia de esto y valoran positivamente la seguridad web, por lo que es un factor adicional que ya se tiene en cuenta.

Inconvenientes:

Coste anual: Habitualmente se contratan anualmente y deben renovarse cada año. Dicho de otro modo, cada año pagas. Puedes contratarlos por varios años y tal vez asi ahorres con respecto a la opción anual, pero en cualquier caso el coste resultante es el de los años que contrates

Rendimiento de la conexión: Cuando tenemos un certificado SSL se produce una conexión con la autoridad que expide ese certificado, para ver que es correcto y no está caducado. Por otra parte, también hay un encriptado y desencriptado. Este factor depende mucho de toda la información que haya que encriptar y desencriptar. Esto trae como resultado una pequeña latencia, pero que a día de hoy es mínima, y si la web está bien optimizada es casi inapreciable.

Diferentes tipos de certificados SSL

Certificados SSL con validación de dominio

barra_navegacion_ssl

Son los más asequibles y utilizados ya que se obtienen en cuestión de minutos. Se valida únicamente el dominio y no se inspecciona la identidad de la empresa. Se muestra solo la información encriptada al hacer clic sobre el Sello de Página Segura.

Certificados SSL con validación de organización

barra_navegacion_ssl

Aquí se somete a la empresa u organización a una inspección. La información corporativa inspeccionada se muestra al cliente final con un simple clic de ratón sobre el Sello de Página Segura.

Certificados SSL con validación ampliada

barra_navegacion_verde_ssl

Aquí se somete a la empresa u organización a una inspección pormenorizada y generan el mayor nivel de seguridad. Se distinguen porque en la barra de navegación aparece en nombre de la empresa en color verde. El proceso de emisión del certificado puede durar varias semanas, ya que antes de emitir el certificado deben seguirse diferentes pasos, entre otros:

Comprobar la existencia jurídica, física y operativa de la entidad, verificar el derecho exclusivo de la entidad a utilizar el dominio especificado en el certificado y que ha autorizado debidamente la emisión del certificado.

Los precios de un certificado SSL pueden oscilar entre los 90-600 € al año, ya que deben renovarse anualmente y van en función del tipo de certificado que se emita y sus características.

Hoy por hoy un certificado SSL debe funcionar en la mayoría de los navegadores y dispositivos móviles. Suelen llevar una garantía o seguro que puede ir desde los 10.000 € hasta 1.500.000€.

Pueden proteger un único dominio o ser multidomino, Wildcard para varios subdominios, con o sin las “www”, etc. En función de sus prestaciones, incrementará o disminuirá su coste.

Las claves de encriptación pueden ir desde los 256 bits hasta los 2048 bits.

Tips de seguridad para cualquier usuario

Siempre que visites una web donde por la razón que sea, es necesario dejar datos personales, más allá del correo electrónico, como por ejemplo, realizar una compra, usar tarjetas de crédito, modificar tus datos, etc, fíjate que en la barra de tu navegador, aparezca el https. Si no es asi, es mejor que te vayas. Hoy es difícil encontrarse esta situación, por lo que si te la encuentras, casi con toda seguridad están intentando robarte la información.

Procedimiento de instalación de un Certificado SSL

Lo primero de todo es comprar e instalar el certificado SSL en tu servidor o hosting. Si tienes Plesk como panel de control de tu hosting te será relativamente sencillo. Lo mismo ocurre con Cpanel. Si tu panel de control es hecho a medida por tu proveeedor de hosting, puedes hablar con ellos o sencillamente seguir las instrucciones que ellos te indiquen que serán muy similares.

Instalar certificado SSL en Plesk

Lo primero de todo es que debe instalarse el certificado en el servidor y dar soporte a la navegación bajo SSL. Es posible que te digan que debes tener también una IP fija para ese certificado pero ahora mismo con un Plesk esto realmente no es necesario.

Más o menos el proceso es similar para todos los paneles. Vamos a poner el ejemplo suponiendo que utilices Plesk como panel de acceso a tu hosting y compres el certificado a un proveedor independiente que no es el de tu hosting.

Paso 1: Debes ir a tu suscripción y buscar el apartado “Proteja sus sitios”

plesk_certificado_SSL_1

Paso 2: Crea el certificado para tu web

plesk_certificado_SSL_2

Paso 3: Accede al Certificado, en la parte superior dale un nombre para identificarlo, luego rellena tus datos y pulsa en solicitar.

plesk_certificado_SSL_3

Paso 4: Al pulsar en solicitar, saldrás de esa pantalla y aparecerá en el listado el certificado. Haz click sobre el para acceder al mismo y obtén la clave CSR

plesk_certificado_SSL_4

Paso 5: Al contratar el certificado SSL por tu cuenta a un proveedor externo, además de tus datos personales, dominio, etc, debes facilitarle esa clave. Una vez realizado ese proceso, en cuestión de minutos, el proveedor te enviará un mail de aprobación y confirmación que debes aceptar. Después, recibirás un nuevo email con las dos claves que utilizarás en el panel de control Plesk para dejar instalado y completo el certificado.

plesk_certificado_SSL_5

Paso 6: Introduce los certificados tal y como tu proveedor te los envía (copia y pega). No olvides que siempre deben empezar con —–BEGIN CERTIFICATE—– y terminar con —–END CERTIFICATE—–. Evita los espacios en blanco o caracteres antes y después, por eso te recomiendo que seas cuidadoso/a al copiar y pegar. Luego, haz click en “enviar texto“.

Listo, con esto ya tienes tu certificado creado e instalado. Ahora debemos decirle al server que lo use con la web.

Paso 7: Ve a configuración del hosting

plesk_certificado_SSL_6

Paso 8: Marca la casilla Soporte para SSL y selecciona de la lista el tuyo.

plesk_certificado_SSL_7

Acepta los cambios y ya tienes preparado tu hosting para funcionar con un certificado SSL.

¿Cómo implementar un certificado SSL en WordPress?

WordPress es flexible y ofrece diferentes alternativas. La manera más sencilla de implementarlo es a través de un plugin y un poco más liosa a través del archivo .htaccess. Además con WordPress puedes decidir si quieres tener solo la administración o toda la web bajo seguridad SSL.

Si utilizas un plugin, tienes varias posibilidades. Como ya sabes, es mejor utilizar plugins que se actualicen con frecuencia, por lo que puedo recomendarte Really Simple SSL Esto es instalar y listo. el se encarga de todo (obviamente si tienes el certificado SSL)

Si lo haces manualmente:

Tienes tres opciones para implementar el Certificado SSL:

Tener solo el proceso de Login bajo SSL

Tener solo la administración de WordPress bajo SSL

Tener toda la web bajo la protección del certificado SSL

Accede al archivo wp-config.php (lo tienes en la raiz de tu wordpress en el ftp y haz una copia de seguridad antes de tocar nada):

Si solo quieres loguear con SSL añade:

/* SSL */ Como comentario que te indica que las siguientes lineas son sobre el SSL.

define( ‘FORCE_SSL_LOGIN’, true );

Si quieres tener la administración bajo SSL inserta esto:

define( ‘FORCE_SSL_ADMIN’, true );

Cuando entres a loguearte y a la administración ya estás bajo la protección del certificado SSL en tu web.

¿Quieres aprovechar la protección para toda la web?, entonces debes añadir lo siguiente en el .htaccess

# BEGIN CERT SSL

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://tudominio.com/$1 [R,L]

# END CERT SSL

Sustituye tudominio.com por el tuyo propio y con esto ya tendrás toda la web con la protección del certificado SSL.

¿Tenemos Woocommerce y solo queremos que aparezca en páginas específicas de pago?

En Woocommerce tienen este punto bien pensado y ya viene configurado a tal efecto. Es tan sencillo como marcar una casilla. Si es asi, omite el paso del archivo .htaccess y vete al panel de control de Woocommerce directamente.

Vamos a la pestaña “Ajustes – Finalizar compra”

woocommerce_activar-certificado_SSL_8

Ahí aparece una opción que dice “Forzar pago seguro”. Márcala y de esta manera, Woocommerce activará el certificado SSL en las páginas de pago, carrito, registro y login. Sin embargo, si quieres tener toda la web con protección SSL déjalo desmarcado.

Algo importante que debes saber

Cuando decides instalar el certificado SSL y utilizas el .htaccess, lo que ocurre es que Apache redirecciona tu web a la versión https, sin embargo, puede seguir operando como si no lo tuviera. Por ejemplo, imagina que alguien accede desde un buscador o un enlace interno o externo antiguo…, la url que le muestran no es con https. Por eso es conveniente que revises tus enlaces internos y externos (si está en tu mano) y los cambies a https. Si no hacemos esto, el visitante accede y verá la página, pero es muy posible que si hay elementos como fotografías e iconos, estos no se vean, especialmente los iconos.

Por eso es importante que accedas a tu webmastertools y crees el sitio con https, indicándole a Google que como dominio preferido utilice el https. Luego debes de indicar que reindexen las páginas y una vez hecho esto, pasado unos días, Google empezará a mostrar los resultados con https.

Espero que este post te haya sido de utilidad. Si es así, ayúdame a crecer y compártelo. Te lo agradeceré enormemente.